物聯網的多元發展為各界帶來明顯的商機,各行各業相繼推出連網商品,除了智慧家電、智慧攝影機等消費型商品外,連工控、醫療、通訊、交通等非消費型行業的設備也紛紛加入物聯網行列。而在這蓬勃發展的商機下,最開心的莫過於黑色產業鏈了,原本難以攻佔的場域全數都因為裝置連網而創造出新的攻擊藍圖,新加入連網世界的設備瞬間都成為駭客爭相訪問的對象。

DoS攻擊對基礎建設的影響

2019年美國sPower電力供應商所遭受的資安攻擊,便是典型的DoS攻擊事件。sPower是美國最大的私人太陽能電力供應商,2019年3月駭客利用電力系統中的已知弱點進行長達12個小時的攻擊,反覆中斷操作人員與12個發電站的通訊,使得十多個風電場與太陽能農場的供電出現短暫無法使用的狀況。

有鑑於基礎設施受到攻擊事件頻傳,美國政府也高度關注這類的資安事件,因此美國政府責任署(Government Accountability Office, GAO)受美國國會要求委託,於2019年8月發佈的研究關鍵基礎設施保護文件中,提出對實施聯邦電力網路安全策略的建議。其中評估了能源部(DOE)定義評估電力網路安全風險的策略程度,同時也評估聯邦能源管理委員會(FERC)批准的網路安全標準在解決電力網路安全風險上可以解決風險的程度。美國政府責任署同時也定義威脅電力網路的國家、犯罪集團、恐怖分子以及不同攻擊策略的許多細節,其中DoS攻擊則被列為可能是恐佈份子攻擊的手法之一。

物聯網帶來的便利性讓連網設備範圍由消費性商品擴大至國家基礎設施,美國許多地區的三錶(水錶、電錶、瓦斯錶)已經換成具備連網功能的Smart Meter,台灣幾年前也開始建置智慧電網, 其快速取得用戶使用能源資訊、精準估算能源用量並可根據用量客製收費等多重好處,讓傳統電錶逐漸汰換為俱備連網功能的數位電錶。然而這連網的便利,卻成為駭客對能源公司基礎設施發動攻擊的利器,頻繁攻擊的手法中,更不缺乏以攤瘓設備為目的的DoS攻擊。消費性產品安全不足所引起的攻擊事件,第一時間的衝擊可能是消費者暫時無法使用該產品,但若是對發電或供水設備進行攻擊,在受攻擊期間,能源公司輕則是無法取得客戶的使用資料,嚴重的話可能導致大規模停電、斷水或是足以撼動國家安全級別的災難。

DoS攻擊對工控設備造成的危害

根據調查,工控系統(ICS)已知弱點中70%可被遠端利用,而其中以利用遠端執行代碼(RCE)的弱點駭進工控系統的比率占了49%,駭入之後進行DoS攻擊的比率也可高達39% 。另外一份由卡巴斯基於2018年的統計調查也指出,大部份工控系統上的弱點屬於重大風險等級且可能會造成阻斷服務(DoS)攻擊,且其攻擊成功率也高達50%。

2018年德國奧格斯堡大學與柏林自由大學發表的論文"You Snooze, You Lose: Measuring PLC Cycle Times Under Attacks"指出,對可編程邏輯控制器(Programmable Logic Controller, PLC)發送泛洪攻擊(Flooding Attack),能造成工控設備的物理控制過程中斷或失效,達到拒絕服務(Denial-of-Service, DoS)攻擊的效果。ICS-CERT於2019年12月12日針對此類可能造成可編程邏輯控制器週期時間的影響(PLC Cycle Time Influences)攻擊手法發布了一份報告,因其具有"可遠程攻擊"、"低技術要求"等特性,因而將此問題編列為CVE-2019-10953弱點,並給予CVSSv3評分7.5分,列為高風險弱點(CVSS向量為AV:N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:H),受影響的設備包含了ABB, Phoenix Contact, Schneider Electric, Siemens, WAGO。

在製造業上,台灣近年也大力推動智慧製造,鼓勵工業設備連網以提供完整的生產履歷並提升產品良率,過去工廠端因為設備無連網需求,對於資安防護的概念十分薄弱。如果廠區的安全防護機制未能跟上現代的防護觀念,極可能受DoS攻擊後便造成產線停擺,對於製造業及相關的供應鏈將造成極大傷害,因此提升工控設備安全降低DoS攻擊的風險已是刻不容緩的事。

對物聯網安全的規範要求

物聯網設備安全問題漸漸攀升,讓愈來愈多國家要求設備製造商提升設備本身的安全性,例如美國在2016年11月發表保護IoT策略準則(Strategic Principles for Securing the Internet of Things);在工控領域也有工業自動化和控制系統(IACS)的網路安全標準來要求工控安全。2019年2月27日國際電工委員會(IECEE)釋出工業自動化和控制系統的安全性第4-2部分(IEC 62443-4-2 : 2019),將資源可用性列為基礎要求的第七項(Fundamental Requirement No.7 : Resource Availability),其中元件要求第7.1項阻斷服務攻擊的防護(Component Requirement 7.1 : Denial of Service Protection),便規範了工控設備遭到阻斷服務攻擊事件而影響效能時,組件仍應維持良好基本功能運作。因此設備制造商將需在開發流程中驗證並致力提昇自身產品對於阻斷服務攻擊的扺抗能力。

設備製造商面對DoS攻擊的因應之道

連網的便利性與資訊安全如何兼俱,一直都是企業專注的議題,對跨越連網設備的製造商而言,如何為物聯網商品提升安全性更是一項新的挑戰。然而面對物聯網資安也不是沒有方法可循,首先可以透過建立符合規範的產品開發流程,在每個階段導入安全設計重點,落實Secure by Design的概念;在測試階段可以透過自動化工具進行測試以減少產品上市前的資安風險。

安華聯網「HERCULES SecDevice弱點檢測自動化工具」,提供連網產品檢測環境配置與安全性評估等自動化功能,提供超過120個測試項目,可協助產品在開發過程中發覺已知和未知弱點,其中模擬DoS攻擊的測試項目,便可讓設備在測試過程模擬從鏈路層(Data Link Layer)至傳輸層(Transport Layer)協定的DoS攻擊,達到拒絕服務攻擊的效果,適合讓設備製造商進行DoS攻擊演練與聯網設備安全強度測試;「HERCULES SecFlow產品資安管理系統」可讓研發團隊在軟體設計與開發階段,檢查所使用的第三方開放源始碼套件是否存在爭議性授權問題及重大資安弱點,開發過程層層把關,提昇產品安性性並符合法規要求,降低資安風險。


Advertisement

更多 iThome相關內容